Pour leur test, qui s'est étalé sur une période de huit semaines, une équipe de chercheurs(Yazan Boshmaf, Ildar Muslukhov, Konstantin Beznosov, et Matei Ripeanu) de l'Université de Colombie Britannique a construit un réseau de 102 robots chargés d'imiter le comportement humain sur les réseaux sociaux, et les a introduits sur Facebook avec la mission de se faire autant d'amis que possible et de collecter des informations privées. « Pour créer un compte utilisateur sur un réseau social en ligne, il faut trois choses : fournir une adresse courriel opérationnelle, créer un profil utilisateur, et parfois résoudre un Captcha ('un test de défi-réponse utilisé dans le domaine de l'informatique, ayant pour but de s'assurer qu'une réponse n'est pas générée par un ordinateur') [...]. Nous affirmons qu'un attaquant peut entièrement automatiser le processus de création du compte, » ont écrit les chercheurs dans un document qu'ils comptent présenter à la 27e édition de l'Annual Computer Security Applications Conference qui se tiendra le mois prochain.

Ce type d'attaque n'est pas nouveau : des malwares comme Koobface utilisent depuis longtemps des comptes créés automatiquement pour répandre des liens malveillants par spamming. Cela avait déjà incité Facebook à développer, au fil du temps, des mécanismes de détection spécialisés. Malheureusement, selon des chercheurs de l'UBC, ces systèmes de défense ne sont pas assez efficaces. Les robots sociaux qu'ils ont lancés contre Facebook ont envoyé des demandes à 5 053 utilisateurs ciblés de manière aléatoire « pour devenir leur ami ». En moyenne, 20% des individus ciblés ont accepté, les bots utilisant des profils féminins ayant eu plus de succès. Mais le taux a triplé quand des bots ont commencé à cibler les amis de ceux qui avaient accepté leurs demandes.

Après avoir lié d'amitié avec les nouveaux utilisateurs, les programmes automatisés ont commencé à explorer leurs profils, les flux de nouvelles et les messages postés sur le mur pour soutirer des informations personnelles. Dans les données recueillies, les bots ont pu trouver leur genre masculin ou féminin, leur date de naissance, leur lieu de travail, le nom des écoles fréquentées, la ville de naissance, la ville de résidence, l'adresse postale, l'adresse courriel, le numéro de téléphone, les identifiants de comptes de messagerie instantanée et la situation familiale.